Kategorie: Aufsichtsbehördliche Maßnahmen

Drittstaatenübermittlung: Risiken bei der Nutzung von US-Cloud Anbietern – Datenschutzbehörden richten Task Force ein

17. Februar 2021

Immer wieder verlagern europäische Firmen ihre Daten auf die Server von US Konzernen und das obwohl der Europäische Gerichtshof im Juli letzten Jahres in dem sogenannten Schrems-II-Urteil das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat.

Problematisch an diesem Datentransfer und einer Zusammenarbeit mit US-Cloud-Diensten ist insbesondere, dass US-Geheimdienste einen umfangreichen Zugriff auf die bei den amerikanischen Unternehmen gespeicherten Daten haben – und dass auch dann, wenn die Daten in Europa gespeichert werden.

Derzeit ist ein Datentransfer daher nur dann datenschutzrechtlich unbedenklich, solange die beteiligten Unternehmen alternative Lösungen zur Aufrechterhaltung eines angemessenen Datenschutzniveaus verwenden, wie zum Beispiel EU-Standardvertragsklauseln nebst zusätzlicher Garantien. Diese müssen jedoch – im Gegensatz zu einem Transferabkommen – für jeden Verarbeitungsvertrag separat ausgehandelt werden. Dies ist nicht nur aufwendig, sondern in der Praxis auch nur schwer umsetzbar, da in den meisten Fällen mit Amazon, Microsoft oder Google kein individueller Verarbeitungsvertrag geschlossen wird. Aus diesem Grund wünschen sich sowohl Datenschützer als auch die Industrie ein neues Abkommen.

Ein solches ist bislang noch nicht in Sicht. Daher setzen zahlreiche deutsche Unternehmen weiter auf die Lösungen von US-Cloud-Anbietern oder steigen gerade erst auf diese um, statt sich von ihnen zu lösen.

Die deutschen Aufsichtsbehörden wollen nun härter durchgreifen und die Einhaltung der Bestimmungen der Datenschutzgrundverordnung stärker kontrollieren.

Wie das Handelsblatt berichtete, haben die Aufsichtsbehörden zur Cloud-Problematik eine spezielle Task Force eingerichtet. Dabei wollen sie stichprobenartig bundesweit Unternehmen auswählen, bei denen die Vermutung besteht, dass sie Dienstleister aus Drittstaaten verwenden. Die Task Force soll mit deutschen Unternehmen den Einsatz von US-Cloud-Diensten besprechen und gegebenenfalls Alternativen vorschlagen wie z.B. einen Wechsel des Anbieters oder eine Aussetzung der Datenübermittlung. Aber auch die Verhängung von Bußgeldern ist laut den Datenschutzbehörden dann angezeigt, wenn keine zufriedenstellende Lösung gefunden werden kann. Diese können bis zu 20 Mio. Euro betragen oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes.

Es bleibt daher abzuwarten, wie die Datenschutzbehörden im Rahmen ihrer Task Force vorgehen werden, welche Bußgelder verhängt werden und ab wann eine europäische Lösung für die Frage der Drittsaatenübermittlung gefunden wird.

VfB Stuttgart: Bußgeldverfahren eröffnet

9. Februar 2021

In einer Presseerklärung vom 03.02.2021 hat der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg – Stefan Brink – angekündigt, dass aufgrund festgestellter “erheblicher” Datenschutzverstöße ein Bußgeldverfahren gegen den VfB Stuttgart (e.v. und AG) eröffnet wurde. Die Behörde habe über mehrere Monate ermittelt, insbesondere in Bezug auf Datenverarbeitungen, die im Zusammenhang mit der Mitgliederversammlung des Vereins im Jahr 2017 stehen. Aber auch weitere Datentransfers an externe Dienstleister sowie die generelle Umsetzung der DS-GVO standen im Fokus der Behörde. Dabei seien – auch in Kooperation mit den Verantwortlichen des Vereins sowie der AG – hinreichende tatsächliche Anhaltspunkte für Datenschutzverstöße festgestellt worden.

Hintergrund der Ermittlungen

Ausgangspunk der Ermittlungen war ein Bericht des Sportmagazins Kicker, wonach im Vorfeld der fraglichen Mitgliederversammlung wiederholt Mitgliederdaten an Dritte übermittelt wurden. Auf der Mitgliederversammlung wurde darüber entschieden, die Fußballabteilung des e.V. in eine AG auszugliedern. Um für dieses Vorhaben zu werben, soll der Verein mit einer externen PR-Agentur zusammengearbeitet haben. Der Inhaber der Agentur sollte zudem über eine Facebook-Seite eine Empfehlung zur Ausgliederung abgeben, heißt es. An den Inhaber der Agentur sollen zu diesem Zweck im Vorfeld der Mitgliederversammlung verschiedenste Daten der Mitglieder übermittelt worden seien. Nach Angaben des Vereins soll dieser Übermittlung ein Auftragsverarbeitungsvertrag zugrunde gelegen haben, der Kicker äußerte an dieser Darstellung jedoch Zweifel.

Bereits unmittelbar nach Erscheinen des Berichts kündigte Brink an, ein Auskunftsverfahren einzuleiten, um den erhobenen Vorwürfen nachzugehen. Auch der VfB Stuttgart selbst ließ den Sachverhalt extern durch eine Kanzlei untersuchen, wobei aber auch Berichte kursierten, die AG habe versucht, Einfluss auf die Ermittlungen seitens der Kanzlei zu nehmen. Auch sei festgestellt worden, dass zehntausende Mitglieder von den angeblich unzulässigen Datentransfers betroffen gewesen seien.

“Spürbares” Bußgeld droht

Zwar betonte Brink, dem Verein und der AG drohe trotz der ausdrücklich gelobten Kooperation ein “spürbares” Bußgeld, jedoch ereigneten sich die vorgeworfenen Verstöße bereits in den Jahren 2016 und 2017, also noch vor Inkraftreten der DS-GVO mit ihren weitaus gravierenderen Bußgeldmöglichkeiten. Insofern könnte der Imageschaden für den VfB Stuttgart unter Umständen größer sein als der wirtschaftliche Verlust. Mit der Verhängung des Bußgelds soll noch im Februar zu rechnen sein.

Dating-App Grindr erwartet Millionenbußgeld

8. Februar 2021

Die norwegische Datenschutzbehörde “Datatilsynet” hat die Dating-App Grindr frühzeitig über ein Bußgeld in Höhe von 100.000.000 NOK (ca. 9,6 Millionen Euro) informiert.

Vorangegangen war eine Beschwerde des Norwegischen Verbraucherrats “Forbrukerrådet” und dem Europäischen Zentrum für digitale Rechte (noyb). Die Beschwerde richtete sich gegen Grindr sowie fünf weitere Handelspartner der Dating-App.

Die Norwegische Datenschutzbehörde ist der Ansicht, dass Grindr ohne rechtliche Grundlage personenbezogene Daten mit zahlreichen Werbepartnern geteilt hat. Besonders schwerwiegend sei dabei die Tatsache, dass bereits die Nutzung von Grindr einen Einblick in die sexuelle Orientierung des Nutzers gewährleistet. Damit ergibt sich der Anwendungsbereich des Art. 9 DSGVO, welcher einen besonderen Schutz der sensiblen Daten durch den Verantwortlichen voraussetzt.

Den Usern wurde eine effektive Nutzung der App nur unter Zustimmung der Datenschutzbestimmungen gestattet. Auch hatten die Nutzer keine Möglichkeit eine Einwilligung bezüglich der Weitergabe der Daten an Dritte abzugeben. Dies verstößt gegen die Bestimmungen der Datenschutzgrundverordung. Zwar ist Norwegen als Nicht-EU-Mitglied nicht direkt von der DSGVO betroffen, als Mitglied des Europäischen Wirtschaftsraums (EWR) führte es die DSGVO aber trotzdem ein.

Das Bußgeld könnte das höchste in der Geschichte des norwegischen Datenschutzes werden. Zuvor hat Grindr jedoch die Möglichkeit sich zu den erhobenen Vorwürfen zu äußern.

DS-GVO in Drittstaaten nicht durchsetzbar? noyb klagt gegen Aufsichtsbehörde aus Luxemburg

27. Januar 2021

Die Datenschutz-Grundverordnung (DS-GVO) findet unter bestimmten Bedingungen auch auf Unternehmen Anwendung, die ihren Sitz außerhalb der EU bzw. des EWR, also in sog. Drittstaaten haben. Insbesondere wenn diese ihre Waren oder Dienstleistungen auch gegenüber Kunden anbieten, die sich innerhalb der EU bzw. des EWR aufhalten, unterliegen diese Unternehmen den europäischen Datenschutzbestimmungen (Art. 3 Abs. 2 DS-GVO). Insbesondere um solche Unternehmen effektiv kontrollieren zu können, müssen diese nach Art. 27 DS-GVO einen Vertreter in der Union benennen.

Keine wirksamen Durchsetzungsmöglichkeiten gegen Unternehmen aus Drittstaaten?

Adressat von zwei Beschwerden vor der luxemburgischen Datenschutzbehörde CNPD waren zwei solcher Unternehmen, die zwar personenbezogene Daten des Beschwerdeführers aus Luxemburg verarbeiteten, auf die Geltendmachung der Betroffenenrechte (Art. 15 sowie Art. 17 DS-GVO) jedoch nicht reagierten. Dennoch wies die CNPD – trotz Bestätigung der Anwendbarkeit der DS-GVO – die Beschwerde ab, mit der Begründung, wegen der fehlenden Vertretung in der Union seien keine wirksamen Durchsetzungsmaßnahmen zu erwarten.

noyb: Sehr wohl Durchsetzungsmöglichkeiten vorhanden

Gegen diese Entscheidung hat der Beschwerdeführer in Zusammenarbeit mit der NGO noyb – vor allem bekannt durch Mitgründer Max Schrems – Berufung eingelegt. Würde sich die luxemburgische Datenschutzbehörde weigern, Verstöße gegen die DS-GVO durch Unternehmen aus Drittstaaten zu verfolgen, würde dies die vorgesehene internationale Anwendung der Verordnung untergraben, so noyb in der Stellungnahme. Außerdem würde dies zu einem Wettbewerbsvorteil nicht-europäischer Unternehmen führen, welche sich nicht um die Einhaltung von europäischen Datenschutzvorschriften bemühen müssten. Auch wird verneint, dass keine effektiven Durchsetzungsmaßnahmen gegen Unternehmen aus Drittstaaten bestünden. So sei es durchaus möglich, Vermögenswerte in der Union – auch bei Dritten – einzufrieren oder gar Webseiten sperren zu lassen. Klagen von Betroffenen nur deswegen abzuweisen, weil die Durchsetzung von Maßnahmen aufwändig oder mit Hindernissen verbunden ist, sei nicht hinnehmbar.

noyb pocht auf effektive Durchsetzung der DS-GVO

Gleichzeitig kündigte noyb an, dass dieser Berufung noch weitere Klagen folgen könnten, die sich gegen untätige Aufsichtsbehörden richten. Es sei wichtig sicherzustellen, dass die DS-GVO durch die zuständigen Aufsichtsbehörden effektiv durchgesetzt wird, auch gegenüber Unternehmen aus Drittstaaten. Andernfalls bestünden die Grundrechte von betroffenen Personen, die durch die DS-GVO geschützt werden sollen, nur noch auf dem Papier.

Datenschutzproblem mit “reCAPTCHA”- Dienst von Google

15. Januar 2021

Nicht selten werden Webseiten heutzutage Opfer von massiven Spamangriffen oder anderweitigen Manipulationsversuchen. Um sich davor zu schützen setzt eine Vielzahl dieser Seiten auf sogenannte “Captchas”.

Was ist ein Captcha und wofür wird es verwendet?

Grundsätzlich handelt es sich bei einem Captcha („completely automated public Turing test to tell computers and humans apart“) um ein Tool, das auf Webseiten eingesetzt wird, um Menschen und maschinelle Programme („Bots“) auseinanderzuhalten. Sinn und Zweck dieser Tools ist es die eigene Webseite vor Bot-Angriffen zu schützen, indem man ihnen von vornherein die Zugriffmöglichkeit auf bestimmte Teile der Webseite, oder aber der gesamten Webseite vorenthält. So sollen etwa Manipulationen von Umfragen, übermäßige Serveranfragen oder aber Fake-User aufgehalten werden.

Die gängigsten Erscheinungsformen eines Captchas sind in Form von verschwommenen Buchstaben, einer einfachen Matheaufgabe oder auch einer Bilderreihenfolge. Zumindest in der Theorie sollen diese Aufgaben nur von Menschen gelöst werden können.

Google, „reCAPTCHA“ und ein Datenschutzproblem

Ganz vorne bei Entwicklung und Einsatz dieser Tools ist der Internetriese Google, dessen eigener Captcha-Dienst „reCAPTCHA“ auf über 6 Millionen Webseiten benutzt wird und mittlerweile bereits in seiner dritten Version vorliegt. Doch was in der Theorie wie eine sorgfältige Schutzvorrichtung wirkt, kann für normale Nutzer ein Datenschutzrisiko darstellen. Denn verborgen im Hintergrund von reCAPTCHA läuft ein JavaScript-Element. Ein solches ist in der Lage Benutzerverhalten auszuwerten. So werden neben IP-Adresse auch Daten wie Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer an Google weitergeleitet, ohne dass der Benutzer davon etwas mitbekommt. In den seltensten Fällen wird der Nutzer auf eine solche Analyse hingewiesen. Auch die allgemeine Datenschutzerklärung von Google bietet keine spezifischen Informationen zu reCAPTCHA.

Ein Problem, dass auch das Landesamt für Datenschutzaufsicht Bayern (BayLDA) sieht und in seinen FAQ zutreffend einen Hinweis in Bezug auf reCAPTCHA gibt:

„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Betreiber von Webseiten sollten daher im besten Fall auf die Nutzung von reCAPTCHA und anderen Analysetools verzichten, um sich keinem rechtlichen Risiko auszusetzen.

Bußgeld in Höhe von 10,4 Mio. Euro wegen Videoüberwachung von Beschäftigten

12. Januar 2021

Die Datenschutzbeauftragte des Landes Niedersachsen (LfD Niedersachsen) hat gegen die notebooksbilliger.de AG wegen Datenschutzverstößen ein Bußgeld in Höhe von 10,4 Millionen Euro verhängt. Dabei handelt es sich um eines der höchsten Bußgelder, das bisher von einer deutschen Aufsichtsbehörde wegen eines Verstoßes gegen Datenschutzbestimmungen verhängt wurde. Der Bußgeldbescheid ist allerdings noch nicht rechtskräftig. Auch hat das Unternehmen seine Videoüberwachung nach Angaben des LfD Niedersachsens mittlerweile in rechtmäßiger Weise ausgestaltet.

Vorwurf: Umfassende Videoüberwachung ohne konkrete Verdachtsmomente

Hintergrund des verhängten Bußgeldes ist die im Unternehmen durchgeführte Videoüberwachung von Beschäftigten, die von der Datenschutzbeauftragten des LfD Niedersachsen – Barbara Thiel – als “schwerwiegend” bezeichnet und für unzulässig erklärt wurde. Mit dem Ziel, Straftaten zu verhindern und aufzuklären habe das Unternehmen eine weiträumige Videoüberwachung eingeführt, die sowohl Arbeitsplätze als auch Verkaufsräume, Lager sowie Aufenthaltsbereiche erfasse. Zudem seien die Aufnahmen oftmals 60 Tage lang gespeichert worden sein.

Der Umfang der Videoüberwachung wurde nun durch das LfD Niedersachsen als unzulässig eingestuft. Zur Verhinderung und Aufdeckung von Straftaten dürfe eine Videoüberwachung nur anlassbezogen erfolgen, und auch nur dann, wenn mildere Mittel wie Taschenkontrollen nicht in Betracht kommen. Im Falle eines begründeten Verdachts dürften einzelne Personen überwacht werden, wobei die Überwachung zeitlich begrenzt werden müsse. Ein Generalverdacht oder eine Präventivfunktion seien hingegen nicht ausreichend, sodass die Überwachung aller Beschäftigter unrechtmäßig sei. Zudem seien hier auch Kunden von der Videoüberwachung betroffen gewesen.

Besondere Schwere des Grundrechtseingriffs betont

Die Datenschutzbeauftragte betonte noch einmal, dass es sich bei der Videoüberwachung von Beschäftigten um einen besonders intensiven Eingriff in das Persönlichkeitsrecht handle, “da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“ Aus diesem Grund muss die Videoüberwachung strengen Kriterien folgen.

notebooksbilliger.de kündigt Einspruch an

Die notebooksbilliger.de AG hat angekündigt, gegen den Bußgeldbescheid juristisch vorzugehen. Der CEO des Unternehmens, Oliver Hellmold, bezeichnet die Höhe des Bußgeldes in Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des Verstoßes als unverhältnismäßig. Auch wird bestritten, dass es zu einer systematischen Überwachung der Beschäftigten gekommen sei. Das Videosystem sei hierfür technisch gar nicht ausgelegt gewesen. Durchaus schwer wiegt der Vorwurf des Unternehmens, die Aufsichtsbehörde habe den Sachverhalt nicht ausreichend ermittelt, insbesondere habe man sich vor Ort kein Bild von der Ausgestaltung der Videoüberwachung gemacht. Stattdessen wolle man ein Exempel statuieren, um “ein möglichst abschreckendes Bußgeldregime in Sachen Datenschutz zu etablieren.“ Ziel des juristischen Vorgehens sei aber nicht nur, die Höhe des Bußgeldes anzugreifen und stellvertretend für alle mittelständischen Unternehmen gegen “ungerechte Verfahren” vorzugehen, sondern auch prüfen zu lassen, “ob die Datenschutzbehörde darauf verzichten konnte, einen konkreten Verstoß einer Leitungsperson im Unternehmen festzustellen.“ Gegenstand der juristischen Auseinandersetzung sollen also auch grundlegende Fragen werden, sodass es sich anbietet, das kommende Verfahren aufmerksam zu verfolgen.

Erstes Kohärenzverfahren der europäischen Aufsichtsbehörden – Thema: Bußgeld gegen Twitter

22. Dezember 2020

Nicht selten steht der unterschiedliche Umgang der zuständigen nationalen Aufsichtsbehörden mit Datenschutzverstößen in der Kritik. Insbesondere der irischen Aufsichtsbehörde – welche u.a. für die Big-Tech-Konzerne Facebook und Twitter zuständig ist – wird regelmäßig ein zu lasches Vorgehen gegen die ihr unterstellten Konzerne vorgeworfen, selbst von anderen Behörden. Hintergrund der Kritik ist auch, dass Datenschutzverstöße solcher Big-Player regelmäßig die Bürger aller EU-Staaten betreffen, es aber grundsätzlich in der Hand einer Behörde liegt, die Verstöße zu ahnden. Um hier ein einheitliches Vorgehen der nationalen Behörden zu gewährleisten, wurde in der Datenschutz-Grundverordnung das sog. Kohärenzverfahren geregelt (Art. 63 ff. DS-GVO). In diesem Verfahren tauschen sich die Aufsichtsbehörden – ggf. unter Einbindung der Kommission – untereinander aus, um eine einheitliche Rechtsanwendung sicherzustellen. Besteht diesbezüglich Uneinigkeit, ist es Aufgabe des Europäischen Datenschutzausschusses (EDSA), die Streitigkeiten zwischen den nationalen Behörden über den Umgang mit Datenschutzverstößen beizulegen. Zum ersten Mal hat der EDSA nun einen solchen Beschluss erlassen und sich dabei auch zur Berechnung von Bußgeldern geäußert.

Datenpanne durch Veröffentlichung geschützter Tweets

Grundlage des Kohärenzverfahrens war eine Datenpanne bei Twitter, welche durch eine fehlerhafte Programmierung ausgelöst wurde. Änderten Nutzer auf Android-Geräten ihre zum Account gehörende E-Mail-Adresse, wurden alle geschützten Tweets der Nutzer öffentlich (über die Follower hinaus), ohne dass dies für den Nutzer ersichtlich war. Die Datenpanne wurde im Dezember 2018 bekannt. Insgesamt waren wohl 88.726 Nutzer innerhalb der EU/des EWR von der Datenpanne betroffen. Bei der Überprüfung der Datenpanne durch die zuständige irische Aufsichtsbehörde stellte diese Verstöße gegen Art. 33 Abs. 1 DS-GVO (Verletzung der Mitteilungspflicht gegenüber der Aufsichtsbehörde) und Art. 33 Abs. 5 DS-GVO (Verletzung der entsprechenden Dokumentationspflicht) fest und schlug ein Bußgeld in Höhe von 135.000 bis 275.000 Euro in Bezug auf die Verletzung dieser Kooperationspflichten vor.

Nachdem die irische Behörde diese Informationen entsprechend Art. 60 Abs. 3 DS-GVO an die anderen europäischen Aufsichtsbehörden übermittelte, erhoben einige Behörden – insbesondere aus Deutschland – Einspruch gegen diese Entscheidung. Gerügt wurde u.a. die Berechnung der Bußgeldhöhe. Der EDSA befasste sich eingehend mit den erhobenen Rügen, wies aber eine Vielzahl davon als unzulässig ab. Geprüft wurde aber insbesondere, ob die Berechnung der Bußgeldhöhe korrekt erfolgte. Dabei stellte der EDSA ausdrücklich fest, dass das Kohärenzverfahren auch dazu dienen soll, die Höhe der Bußgelder in den Mitgliedsstaaten zu vereinheitlichen.

EDSA zur Bußgeldberechnung

Der EDSA weist in seiner Entscheidung ausdrücklich und wiederholt darauf hin, dass es sich um eine Einzelfallentscheidung handelt. Dadurch soll verhindert werden, dass sie in anderen Fällen als Präzedenzfall herangezogen werden kann. Nichtsdestotrotz können aus der Entscheidung Rückschlüsse gezogen werden, insbesondere was die Berechnung der Bußgeldhöhe anbelangt. Wichtig ist aber die Feststellung, dass sich die Aussagen auf die Verletzung der Pflichten aus Art. 33 Abs. 1 und Abs. 5 DS-GVO beziehen, also auf Pflichten im Rahmen der Kooperation mit der Aufsichtsbehörde. Dabei sind insbesondere folgende Feststellungen interessant:

  • Werden Kooperationspflichten verletzt, seien diese Verstöße der Höhe des Bußgeldes zugrunde zu legen, nicht die eigentliche Datenpanne (Veröffentlichung der Tweets).
  • Es müsse berücksichtigt werden, ob die Betroffenen die Absicht hatten, den Personenkreis einzuschränken, welcher von den Daten (Tweets) Kenntnis erlangen soll.
  • Hinsichtllich “Art” und “Umfang” der Verarbeitung sei auf die ursprüngliche Verarbeitung abzustellen, nicht auf die konkrete Datenpanne oder den Datenschutzverstoß (hier also auf die Kommunikation per Tweet).
  • Kenntnis von der Datenpanne (im Sinne des Art. 33 Abs. 1 DS-GVO) habe der Verantwortliche erst, wenn dieser “einen gewissen Grad an Gewissheit” darüber besitze, dass eine Datenpanne aufgetreten ist.
  • Gehört die Verarbeitung personenbezogener Daten zum Kern der Tätigkeiten des Verantwortlichen, müsse man erwarten können, dass dieser geeignete Maßnahmen implementiert hat, um Datenpannen und Abhilfemaßnahmen dokumentieren und somit seinen Pflichten nachkommen zu können. Werden die Kooperationspflichten dennoch verletzt, sei dies nachteilig zu bewerten.
  • Die Aufsichtsbehörde müsse konkret darlegen, aufgrund welcher Kriterien die vorgeschlagene Bandbreite des Bußgeldes (0.25% bis 0.5% des maximalen Bußgeldes) ermittelt wurde.

Letztendlich rügte der EDSA vor allem die Berechnung des Bußgeldes und verwies die Sache zurück an die irische Datenschutzbehörde. Diese müsse die Höhe des Bußgeldes neu berechnen. Darauf hin hat die irische Behörde nun das Bußgeld auf 450.000 Euro erhöht.

Entschließungen der 100. Datenschutzkonferenz veröffentlicht

10. Dezember 2020

Bereits am 25. und 26. November 2020 hatten sich die Datenschutzbehörden des Bundes und der Länder (DSK) zu ihrer 100. Sitzung zusammengefunden. Dabei berieten und äußerten sich die obersten Datenschützer zu zahlreichen aktuellen Themen: Nutzung von MS Office 365, Fragen der Datenverarbeitung im Rahmen der Covid-19-Pandemie, Ende-zu-Ende-Verschlüsselung, Umsetzung der ePrivacy-Richtlinie und Zentralisierung der Datenschutz-Aufsicht (alle Entschließungen können hier eingesehen werden).

Nutzung von MS Office 365 zulässig?

Die DSK stellte ihre Ergebnisse zur Untersuchung von Windows 10 in der “Enterprise”-Version vor. Dabei wurde festgestellt, dass es zu Übermittlungen von Telemetriedaten kommen kann. Um diese zu verhindern und eine zulässige Nutzung zu ermöglichen, sollte – so die DSK – die Telemetriestufe “Security” genutzt und mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z.B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) sichergestellt werden, dass keine Übermittlung von Telemetriedaten erfolgt.

Im Hinblick auf MS Office 365 kündigte die DSK an, weiterhin im Gespräch mit Microsoft bleiben zu wollen. Hier wurden demnach keine neuen Ergebnisse vorgestellt.

Umsetzung der ePrivacy-Richtlinie angemahnt

Die DSK hat den Gesetzgeber zudem dazu angemahnt, endlich die Vorgaben der sog. ePrivacy-Richtlinie vollständig und ordnungsgemäß in deutsches Recht umzusetzen. Vor dem Hintergrund des BGH-Urteils zur Verwendung von Cookie-Bannern (wir berichteten) sei die Unsicherheit der Webseiten-Betreiber groß, welche rechtlichen Regelungen bei der Verarbeitung nicht-personenbezogener Daten denn nun gelten. Insofern sei der Gesetzgeber dazu verpflichtet, die Vorgaben der ePrivacy-Richtlinie nunmehr vollständig, ordnungsgemäß und im Einklang mit der DSGVO umzusetzen.

Gegen Aufweichung der Ende-zu-Ende-Verschlüsselung

Kritisch äußerte sich die DSK auch zu Vorschlägen des Rates der Europäischen Union, welche die Aufweichung der Ende-zu-Ende-Verschlüsselung im Rahmen vertraulicher privater Kommunikation betreffen. Nach diesen Vorschlägen sollte den Sicherheitsbehörden und Geheimdiensten der Zugriff auf verschlüsselte Kommunikation in Messengerdiensten und anderen Kommunikationsmitteln vereinfacht werden. Die DSK wendet gegen dieses Vorhaben insbesondere ein, dass dies durch Kriminelle und Terroristen leicht umgangen werden könnte, im Gegenteil aber die Digitalisierung in Wirtschaft und Verwaltung beeinträchtigen könne und auch das Vertrauen der Bürger in sichere Kommunikationsmittel gefährde.

Zentralisierung der Datenschutzaufsicht kontraproduktiv

Schließlich äußerte die DSK auch Bedenken gegenüber Forderungen, die Datenschutzaufsicht im nicht-öffentlichen Bereich zu zentralisieren. Diese sei kontraproduktiv, denn eine Zentralisierung führe zu einer Entfernung von den Unternehmen und Bürgern. Auch genießen die Aufsichtsbehörden ein hohes fachliches Ansehen. Statt eine solche Debatte zu führen, sollte die bessere personelle Ausstattung vorangetrieben werden, sodass alle Behörden ihre Aufgaben vollumfänglich erfüllen können.

Datenschutz-Lehrstunde für die AfD

9. Dezember 2020

Das AfD-Meldeportal “Neutrale Schule” bleibt weiterhin ohne Anwendung. Nach einer Verbotsverfügung und einem gescheiterten Eilantrag des Landesverbandes Mecklenburg-Vorpommern wies das VG Schwerin in der Hauptsache die Klage gegen das Verbot der Platform ab.

Die Alternative für Deutschland hatte bereits im letzten Jahr in Mecklenburg-Vorpommern ein Portal ins Leben gerufen, in welchem Schüler ihre Lehrer melden konnten, wenn diese durch politische Aussagen gegen das Neutralitätsgebot verstoßen. Laut AfD soll dies “die Indoktrinierung unserer Kinder verhindern und damit eine unbeeinflusste politische Meinungsbildung ermöglichen”.

Das VG Schwerin bestätigte nun die Entscheidung des Landesdatenschutzbeauftragten des Landes Mecklenburg-Vorpommern. Das Online-Portal “Neutrale Schule” verstoße gegen Art. 9 Abs. 1 DS-GVO. Nach dieser Vorschrift ist unter anderem die Verarbeitung personenbezogener Daten untersagt, aus denen politische Meinungen oder weltanschauliche Überzeugungen hervorgehen. Mangels einer ausdrücklichen Einwilligungen seitens der betroffenen Personen oder eines offensichtlichen Öffentlichmachens dieser Daten sei eine Ausnahme gemäß Art. 9 Abs. 2 DS-GVO unbegründet. Auch sei die Verarbeitung nicht zur Geltendmachung von Rechtsansprüchen oder aus Gründen eines erheblichen öffentlichen Interesses erforderlich.

Gegen das Urteil vom 26. November 2020 (Az. 1 A 1598/19 SN) kann die AfD vor der Oberverwaltungsgericht Mecklenburg-Vorpommern in Berufung gehen.

Anders als im Falle der “Neutralen Schule” wurde im Bezug auf die App “Lernsieg” entschieden. Diese bietet die Möglichkeit eine generelle Evaluation von Lehrern abzugeben. Im wesentliche Unterschied zur “Neutralen Schule” bestätigte die zuständige Datenschutzbehörde hier ein legitimes Informationsinteresse der Öffentlichkeit an der Bewertung.

Italienische Datenschutzbehörde verhängt Bußgeld gegen Vodafone

25. November 2020

Die italienische Datenschutzaufsichtsbehörde (Garante per la protezione dei dati personali) hat Vodafone zur Zahlung einer Geldbuße von über 12,25 Mio. € verurteilt, weil das Unternehmen die personenbezogenen Daten von Millionen von Nutzern illegal für Telemarketingzwecke verarbeitet hat.

Die Datenschutzaufsichtsbehörde leitete ein Untersuchungsverfahren ein, nachdem sich Betroffene über unerwünschte Werbeanrufe von Vodafone oder Firmen aus dem Vermarktungsnetzwerk des Telekommunikationsunternehmens beschwert hatten. Die Aufsichtsbehörde stellte fest, dass Werbeanrufe ohne Einwilligung der Betroffenen erfolgten. Weitere Verstößen wurden bei der Verwaltung der von externen Providern beschafften Listen von Kontaktdaten gefunden. Zudem wurden Mängel bei der Erfüllung der Rechenschaftspflicht sowie der technischen und organisatorischen Maßnahmen festgestellt.  

Neben der Zahlung der Geldbuße muss das Unternehmen eine Reihe von Maßnahmen ergreifen, die von der Behörde festgelegt wurden, um die nationalen und europäischen Rechtsvorschriften zum Datenschutz einzuhalten. Hierzu gehören die Schaffung eines Dokumentationssystems, mittels dessen sich nachverfolgen lässt, ob die Verarbeitung personenbezogener Daten im Kontext des Telefonmarketings entsprechend der gültigen Regelungen erfolgt und eine Stärkung bestehender Sicherheitsmechanismen, um unerlaubten Zugriffen auf und unrechtmäßiger Verarbeitung von Kundendaten vorzubeugen. Vodafone wurde zudem aufgefordert Maßnahmen zu ergreifen, um auch auf Anfragen von Kunden zur Ausübung ihrer Rechte umfassend reagieren zu können.

Schließlich hat die Behörde Vodafone jede weitere Verarbeitung von Daten zu Werbezwecken untersagt, die durch den Erwerb von Listen von Dritten erfolgt, ohne dass diese eine spezifische und informierte Einwilligung der Nutzer für die Übermittlung ihrer Daten eingeholt haben.

1 2 3 23